Permissões mínimas da AWS

Nesta página, explicamos como minimizar o acesso do Cloud Monitoring à sua conta da AWS.

Visão geral

Ao usar as instruções padrão para adicionar uma conta da AWS a um dos espaços de trabalho, você concede acesso somente de leitura do Monitoring a todos os recursos da AWS. Isso é feito por meio da criação de um papel de IAM da AWS com acesso somente leitura a todos os serviços. Você armazena no espaço de trabalho uma chave (o ARN do papel) que permite ao Monitoring usar esse papel.

O nível de acesso do Monitoring é controlado pelo papel de IAM da AWS escolhido. Para minimizar o acesso, crie um papel de IAM do AWS com acesso somente leitura a apenas alguns dos seus recursos do AWS, e não a todos eles. Por exemplo, seu papel pode permitir acesso apenas ao CloudWatch e ao SNS.

Um papel da AWS usado para autorizar o Monitoring pode ser utilizado em apenas um espaço de trabalho. Cada papel contém um código externo específico para um único espaço de trabalho.

Permissões mínimas

As seguintes políticas de permissão da AWS são o conjunto mínimo exigido pelo Monitoring. Seu papel da AWS precisa conter pelo menos estas permissões:

AmazonDynamoDBReadOnlyAccess
AmazonEC2ReadOnlyAccess
AmazonElastiCacheReadOnlyAccess
AmazonESReadOnlyAccess
AmazonKinesisReadOnlyAccess
AmazonRedshiftReadOnlyAccess
AmazonRDSReadOnlyAccess
AmazonS3ReadOnlyAccess
AmazonSESReadOnlyAccess
AmazonSNSReadOnlyAccess
AmazonSQSReadOnlyAccess
AmazonVPCReadOnlyAccess
AutoScalingReadOnlyAccess
AWSLambdaReadOnlyAccess
CloudFrontReadOnlyAccess
CloudWatchReadOnlyAccess
CloudWatchEventsReadOnlyAccess

Essa lista pode aumentar à medida que novos serviços da AWS são adicionados ao Monitoring. É possível incluir outras permissões para equilibrar a funcionalidade do Monitoring com sua decisão de manter o acesso limitado.

Como modificar um papel da AWS

Se você já tiver adicionado sua conta da AWS a um espaço de trabalho, poderá limitar o acesso do Monitoring ao mudar as permissões no papel da AWS em uso:

  1. Faça login na sua conta da AWS.
  2. Acesse Serviços > IAM > Papéis para acessar o Console do IAM do AWS.
  3. Na parte inferior da página, clique no nome do papel que você está usando para autorizar o Stackdriver. Na guia Permissões, a lista de permissões desse papel é exibida:

    • Para remover uma permissão existente, clique no X à direita da permissão.
    • Para adicionar permissões, clique em Anexar política:
      1. Use o filtro para encontrar a política desejada.
      2. Selecione uma das políticas que terminam em ReadOnlyAccess ou ReadOnly.
      3. Clique em Anexar política.
      4. Repita para adicionar mais políticas.

Como adicionar uma conta da AWS com acesso limitado

Consulte as instruções padrão em Como adicionar um projeto ou uma conta a um espaço de trabalho. As instruções para criar seu papel do AWS não estão na documentação do usuário do Stackdriver, mas estão listadas na página do Cloud Monitoring no Console do Google Cloud quando você adiciona uma conta do AWS. Veja a seguir uma captura de tela com essas instruções.

Caixa de diálogo

Veja como modificar essas instruções:

  1. Encontre a etapa 7, "Selecione ReadOnlyAccess na lista de políticas e clique em Próximo: revisar".

  2. Substitua essa etapa pelas instruções a seguir:

    1. Use o filtro para localizar uma política de permissões que você quer usar. Selecione uma variante ReadOnly da política, porque ela é tudo o que você precisa.
    2. Repita a ação conforme necessário para selecionar mais permissões.
    3. Quando terminar, clique em Próximo: revisar. Você verá algo semelhante à imagem abaixo:

    Revisar papel

  3. Continue com as instruções padrão.